丹永

2015年12月15日，歐盟執(zhí)委會（European Commission）通過了《通用數(shù)據(jù)保護條例》（GeneralData ProtectionRegulation，簡稱GDPR），以歐盟法規(guī)的形式確定了對個人數(shù)據(jù)的保護原則和監(jiān)管方式，由此代替1995年的《個人數(shù)據(jù)保護指令》。在歐盟個人信息保護的立法過程中，歐洲征信協(xié)會一直代表行業(yè)與歐洲立法機構(gòu)溝通游說，為歐洲征信業(yè)爭取有利的外部環(huán)境。從“指令”到“條例”的轉(zhuǎn)變，不僅僅是內(nèi)容的更新和修正，而是在數(shù)字時代新秩序下對個人數(shù)據(jù)保護的重大制度改革，更是對歐洲征信行業(yè)的規(guī)范運營起到了深刻作用。

一、歐盟數(shù)據(jù)保護立法發(fā)展

在歐洲國家，其數(shù)據(jù)保護歷史可追溯到上世紀九十年代。1995年歐盟通過了《數(shù)據(jù)保護指令》（即“95指令”，全名為PROPOSAL FOR A COUNCILDIRECTIVECONCI：RNING TO：PROTECTION OFINDIVIDUALS IN RELATION TO THE PROCESSIN（;OFPERSONAL DATA），由此該指令成為歐盟成員國立法保護個人數(shù)據(jù)設(shè)立了最低標準。

《95指令》制定時，互聯(lián)網(wǎng)尚未被大眾廣泛使用，個人數(shù)據(jù)的收集及處理僅限定在用戶名、住址、IP地址及相對簡單的金融信息等。但隨著互聯(lián)網(wǎng)和社交應(yīng)用的飛速發(fā)展，人們的日常生活乃至地理軌跡信息都在一瞬間暴露。指令中包含的訪向權(quán)（即為確保信息的正確性，用戶有權(quán)訪問他們的信息并且修改不當?shù)牡胤剑┮呀?jīng)遠遠不能滿足用戶的日常需求，轉(zhuǎn)而尋求對個人數(shù)據(jù)的控制權(quán)?；ヂ?lián)網(wǎng)新技術(shù)的發(fā)展和用戶控制需求的變化，使該指令為代表的傳統(tǒng)數(shù)據(jù)保護框架亟待重大更新。

指令的第一次修正起始于2002年。歐盟在當年的7月12日發(fā)布了《隱私與電子通訊指令》（Directive on privacy andelectronic communications，Directive 2002/58/EC）中，規(guī)定了通信和互聯(lián)網(wǎng)服務(wù)商需要采取恰當?shù)拇胧?，以保證其安全性;禁止在未得到用戶同意的情況下存儲和使用用戶的數(shù)據(jù);服務(wù)提供商應(yīng)該保障用戶的知情權(quán)等。此次的修正內(nèi)容奠定了未來互聯(lián)網(wǎng)個人數(shù)據(jù)保護的原則基礎(chǔ)，但在具體操作層面上還較為粗略，也缺乏明確的違規(guī)懲罰措施。

六年后的11月25日，歐盟對個人數(shù)據(jù)保護措施又有了一次重要的修正，通過了《歐洲Cookie指令》（ELF CookieDirective，DIRECTIVI：2009/136/EC），并確定其于2011年5月25日在歐盟正式啟用。該指令是《隱私與電子通訊指令》的一項重要補充，一是強化了用戶的知情權(quán)，讓用戶對網(wǎng)站收集、存儲和跟蹤用戶信息有了清晰明確的了解;二是指令對網(wǎng)站生成、使用和管理以Cookie為核心的用戶個人數(shù)據(jù)提出了完整規(guī)范的管控要求，以避免網(wǎng)站濫用或以不夠安全的方式操作與存儲用戶個人數(shù)據(jù)。

特別是在移動互聯(lián)網(wǎng)世界中，除Cookie以外還存在著眾多不規(guī)范巨非法收集跟蹤用戶數(shù)據(jù)的技術(shù)手段。《歐洲Cookie指令》劃清了用戶對個人數(shù)據(jù)合法操作與非法操作的明確界限，讓歐盟管控互聯(lián)網(wǎng)信息操作、進行個人數(shù)據(jù)保護有了依據(jù)。

據(jù)TRUSTe2012年10月的統(tǒng)計：在cookie合規(guī)性檢查之前，英國只有12%（以排名前50的網(wǎng)站為統(tǒng)計）嚴格遵循《歐洲Cookie指令》的要求，在網(wǎng)站彈出窗口或在指定的地方提供Cookie信息確認的提示或信息說明。而法國和德國的則全部不合規(guī)。

盡管歐盟在不同階段制定了不同的數(shù)據(jù)保護修正指令，但是這些內(nèi)容僅架構(gòu)在《95指令》的基本框架之上。他們希望能夠以一個全新的完整框架用來代替前二十年構(gòu)建的且已經(jīng)不能適應(yīng)移動互聯(lián)網(wǎng)時代需求的陳舊框架。于是，《通用數(shù)據(jù)條例》于2015年12月15日正式制定。

二、《通用數(shù)據(jù)條例》的出臺及相關(guān)內(nèi)容

（1）出臺目的及背景

1.目的

長久以來，歐洲公民擁有自決權(quán)決定個人數(shù)據(jù)以什么目的、哪種方式被使用和處理，且公民的基本人權(quán)也將此權(quán)利作為一項基本人權(quán)被保障。但是隨著互聯(lián)網(wǎng)的盛行，公民越發(fā)憂心個人數(shù)據(jù)的失控會威脅到其基本人權(quán)。為此，歐盟制定《通用數(shù)據(jù)條例》其目的有兩項：一是鞏固公民對個人數(shù)據(jù)的自決權(quán)和控制權(quán)，保障歐盟公民的基本人權(quán)，重拾對個人數(shù)據(jù)處理的信任;二是統(tǒng)一歐盟數(shù)據(jù)保護規(guī)則，簡化歐盟個人數(shù)據(jù)保護和監(jiān)管的流程，降低跨國公司的合規(guī)成本，促進一體化的“數(shù)字歐洲”進程。

2.背景

數(shù)字化時代還未來臨前，《95指令》雖在歐盟成員國內(nèi)實施，但它僅僅是一種指引而非法規(guī)，在成員國的實施情況不盡相同，且不具有強制性。隨著互聯(lián)網(wǎng)時代新技術(shù)和新的數(shù)據(jù)處理與應(yīng)用方式對個人數(shù)據(jù)保護的挑戰(zhàn)日漸鮮明，《指令》便顯得有些力不從心。

于是在2009年，歐洲征信協(xié)會與歐盟委員會就《指令》的不足，從新技術(shù)和數(shù)據(jù)全球化的角度，嘗試對現(xiàn)行的個人數(shù)據(jù)保護法律進行完善。2010年11月，歐盟委員會提出了強化歐盟個人數(shù)據(jù)保護的計劃，并于后年元月提出綜合改革方案——《關(guān)于提高用戶對個人數(shù)據(jù)掌控、降低企業(yè)成本的個人數(shù)據(jù)保護方案》，內(nèi)容指出：科技進步和全球化徹底改變了原有的數(shù)據(jù)收集、處理和使用方式，沖擊了原來的個人數(shù)據(jù)保護原則;《95指令》在27個成員國的差異化落地，且具有法律法規(guī)的強制性;新的個人數(shù)據(jù)保護法律框架從便捷公民查詢、攜帶和刪除個人數(shù)據(jù)方面，進一步提高了公民對本人數(shù)據(jù)的控制權(quán)。2015年6月，就“在歐盟建立一個現(xiàn)代、統(tǒng)一的數(shù)據(jù)保護新規(guī)則”達成了一致，開始共同推進新條例的制定。

2018年5月份《通用數(shù)據(jù)保護條例》正式生效，《條例》共有99條，對《95指令》中的內(nèi)容做出了多達3500處具體修改。

（2）適用對象及特點

1.適用對象

包括使用歐盟語言或貨幣，為歐盟居民量身定制產(chǎn)品，或在歐盟范圍內(nèi)積極營銷?！氨O(jiān)控”定義為在線追蹤人員創(chuàng)建個人資料，或分析和預測個人偏好，行為模式或態(tài)度。

2.特點

第一，適用范圍廣。在地域上，雖然《條例》是歐洲的法律，但適用范圍不僅限于歐洲。業(yè)務(wù)機構(gòu)設(shè)在歐盟境內(nèi)并從事個人數(shù)據(jù)處理的組織、非歐盟成員國企業(yè)在歐盟境內(nèi)未設(shè)立業(yè)務(wù)機構(gòu)，但卻處理歐盟境內(nèi)的個人數(shù)據(jù)的都適用該條例。在主體范圍上，則直接適用于數(shù)據(jù)控制者和數(shù)據(jù)處理者。規(guī)定了信息安全措施、未經(jīng)許可不能轉(zhuǎn)委托、記錄保存、協(xié)助義務(wù)等一系列義務(wù)。

第二，受保護者權(quán)利多。包括個人姓名、政府身份證號碼、位置信息、IP地址、Cookie等，既涵蓋真實世界的信息，又涵蓋網(wǎng)絡(luò)世界的信息。除了常規(guī)的權(quán)利之外，《條例》新增的信息泄露通知、訪問權(quán)、被遺忘權(quán)、可攜帶權(quán)、隱私保護設(shè)計等幾個重要數(shù)據(jù)主體權(quán)。此外，《條例》對未成年人的數(shù)據(jù)保護也有特殊要求：企業(yè)和組織取得父母的同意，才能處理16歲以下兒童的個人資料。

第三，對數(shù)據(jù)處理要求更嚴格。在數(shù)據(jù)處理過程中，必須以清楚、獨立、清晰的方式向數(shù)據(jù)主體表達其用戶條款，以獲得數(shù)據(jù)主體的同意;同意許可必須容易撤回;同意許可必須基于主體自由意志做出，且同意處理的數(shù)據(jù)范圍不可超過必要限度。

第四，處罰嚴厲。涉及行政處罰和民事處罰。行政處罰分為兩類，第一類針對違反隱私保護設(shè)計，以及默認隱私保護，沒有實施充分的IT安全保障措施、違反數(shù)據(jù)泄露通知要求等違法行為，處以最高 1000萬歐元或者上一年度全球營業(yè)收入的2%，二者取其高;第二類針對違反數(shù)據(jù)處理原則，數(shù)據(jù)處理沒有合法基礎(chǔ)、違反同意要求、侵害數(shù)據(jù)主體的合法權(quán)利等違法行為，處以最高2000萬歐元或者企業(yè)上一年度全球營業(yè)收入的4%，二者取其高。民事處罰也分為兩類。就對外的被侵權(quán)數(shù)據(jù)主體而言，為了確保其獲得有效賠償，數(shù)據(jù)控制者和數(shù)據(jù)處理者就信息主體的全部損失承擔連帶責任。而在內(nèi)部的責任分配上，數(shù)據(jù)控制者就其違反《條例》規(guī)定的數(shù)據(jù)處理行為擔責;數(shù)據(jù)處理者只對其未遵守規(guī)定的特別是針對數(shù)據(jù)處理者的義務(wù)或者其超過數(shù)據(jù)控制者的合法指示的行為造成的損失擔責。當然，這些處罰也會根據(jù)行為的性質(zhì)、主管狀態(tài)以及違規(guī)事件發(fā)生后的應(yīng)急響應(yīng)情況等多重因素綜合考量，并對中小企業(yè)給予一定的豁免權(quán)。

三、《通用數(shù)據(jù)保護條例》對我國征信行業(yè)的影響

（1）遵循數(shù)據(jù)分布，實行動態(tài)管理

傳統(tǒng)意義上的立法管轄權(quán)通常是按國家（地域）進行劃分的，但由于互聯(lián)網(wǎng)上的數(shù)據(jù)分布是動態(tài)變化的，為了更好地適應(yīng)全球組織的要求，《條例》中數(shù)據(jù)保護約束突破了法律管轄數(shù)據(jù)的地域限制，僅與數(shù)據(jù)的分布有關(guān)。這就意味著《條例》不僅適用于歐盟企業(yè)，還適用于向歐盟居民提供產(chǎn)品或者服務(wù)的征信機構(gòu)，甚至收集或監(jiān)控相關(guān)數(shù)據(jù)的非歐盟企業(yè)和組織也響應(yīng)接受約束。

（2）記錄操作流程，建立監(jiān)控記錄機制

征信機構(gòu)和組織在對個人數(shù)據(jù)進行操作時，必須將所有的操作流程和步驟記錄下來，以免不正當?shù)牟僮魇址ㄔ斐呻[私泄露。換個說法，必須建立個人數(shù)據(jù)操作監(jiān)控記錄機制，以備政府和征信監(jiān)管機構(gòu)檢查。由于《條例》是全歐盟內(nèi)部統(tǒng)一的，所以大型征信機構(gòu)可以使用一套標準的監(jiān)控記錄機制對歐盟內(nèi)所有國家的分公司進行監(jiān)控和管理。

同時，當發(fā)生嚴重的隱私數(shù)據(jù)泄露時，《條例》要求第一時間通知相關(guān)國家監(jiān)管機構(gòu)，并把數(shù)據(jù)泄露的數(shù)量、方式、渠道以及可能的影響范圍上報。如果數(shù)據(jù)泄露會對數(shù)據(jù)所有者（用戶）產(chǎn)生負面影響，組織也必須毫不延誤的通知數(shù)據(jù)所有者（用戶）以便其采取必要的措施消除影響。

（3）遵從最簡化原則，設(shè)計告知構(gòu)造

將數(shù)據(jù)保護視為基本要求的《條例》，強制要求企業(yè)在業(yè)務(wù)設(shè)計初期就必須將其考慮。這其中包含了兩方面的要求：其一，在設(shè)討新的業(yè)務(wù)系統(tǒng)、操作流程和服務(wù)時，處理個人數(shù)據(jù)的環(huán)節(jié)就必須遵從《條例》要求的方式進行構(gòu)造。企業(yè)還必須提供相關(guān)信息證明自己滿足了上述要求。其二，當系統(tǒng)、流程和服務(wù)包含了個人數(shù)據(jù)被共享的多個不同級別時，默認的缺省選項必須是共享內(nèi)容最小的選項不共享任何內(nèi)容，這就是數(shù)據(jù)保護的最簡化原則。

（4）刪除不實數(shù)據(jù)，防止不良信息散布

《條例》特別訂立了被遺忘權(quán)和反對權(quán)，且該兩項權(quán)利主要是針對社交媒體的，其主要意圖是為主體提供反對權(quán)和被遺忘的權(quán)利。打個比方，當一位父親在女兒的婚禮上喝了一杯酒，而這張照片被父親的領(lǐng)導看到，認為他有酗酒的嗜好而將其開除，這張照片實質(zhì)上就對父親個人產(chǎn)生了影響。對于這位父親來說，要求消除之前在社交媒體上的圖片信息就是合理的。這一點對征信機構(gòu)也同樣適用，個人應(yīng)該有這樣的權(quán)利。但是，上述權(quán)利會影響征信業(yè)的業(yè)務(wù)模式和數(shù)據(jù)的完整性。因為在某些時候，個人有權(quán)根據(jù)這些權(quán)利隨時拒絕征信機構(gòu)處理其數(shù)據(jù)，有權(quán)利撤回向征信機構(gòu)提供的數(shù)據(jù)采集的授權(quán)，有權(quán)要求刪除其數(shù)據(jù)，并且如果征信機構(gòu)早前已經(jīng)對刪除的數(shù)據(jù)進行了公開傳播，還要負責告知其他機構(gòu)刪除該數(shù)據(jù)。

但是，如果完全開放刪除個人信息的模塊，就有可能使得數(shù)據(jù)完整性缺失，進而影響金融系統(tǒng)的正常風險管理，畢竟征信行業(yè)本身還有維護金融穩(wěn)定等公共利益的義務(wù)。

（5）巨額的懲罰上限

《條例》中最吸引眼球的就是巨額的懲罰上限。盡管規(guī)定違法的懲罰金額由歐洲各成員國自行確定，但懲罰上限確是處于歐盟立法中相當高的水準：對于不太嚴重的違法，罰款上限是一千萬歐元或前一年全球營業(yè)收入的2%（兩值中取大者）;對于嚴重的違法，罰款上限是兩千萬歐元或前一年全球營業(yè)收入的4%（兩值中取大者）。

（6）根據(jù)國情，總結(jié)借鑒意義

在互聯(lián)網(wǎng)大數(shù)據(jù)的背景下，借鑒《通用數(shù)據(jù)保護條例》，加強對我國個人信息的保護，筆者認為應(yīng)當從以下幾方面人手：一是，應(yīng)當規(guī)定在合同簽訂和履行過程中，互聯(lián)網(wǎng)企業(yè)應(yīng)當遵循信息搜集的合理性、適當性原則，不得“過分”搜集消費者的信息。二是，互聯(lián)網(wǎng)企業(yè)通過格式條款取得個人信息書面使用授權(quán)或者同意的，應(yīng)當在條款中明確該授權(quán)或者同意所適用的向他人提供個人信息的范圍和具體情形，應(yīng)當在協(xié)議的醒目位置使用通俗易懂的語言明確向消費者提示該授權(quán)或者同意的可能后果。三是，消費者簽訂合同或者履行合同的過程中，拒絕將個人隱私存人互聯(lián)網(wǎng)絡(luò)企業(yè)的數(shù)據(jù)庫，那么互聯(lián)網(wǎng)絡(luò)企業(yè)不得拒絕服務(wù)。并且應(yīng)當將有關(guān)消費者的個人隱私刪除。四是，互聯(lián)網(wǎng)絡(luò)企業(yè)必須切實保護消費者個人隱私，建立個人金融信息使用管理制度。因監(jiān)管、審計、數(shù)據(jù)分析等原因需要使用個人金融信息數(shù)據(jù)的，應(yīng)當嚴格內(nèi)部授權(quán)審批程序，采取有效技術(shù)措施，確保信息在內(nèi)部使用及對外提供等流轉(zhuǎn)環(huán)節(jié)的安全，防范信息泄露風險。

綜上所述，歐盟通過立法保護征信行業(yè)的個人信息已有較長的歷史，其立法宗旨和保護規(guī)范逐步完成了由規(guī)范處理到人權(quán)保護的轉(zhuǎn)變?！稐l例》為成員國立法保護個人信息設(shè)立了最低標準，確立了數(shù)據(jù)質(zhì)量原則，賦予信息主體廣泛的權(quán)利，對征信行業(yè)的有序規(guī)范運營影響甚巨。